I can set up the incoming side of the trust relationship on domain "a" so that it trusts domain "b".
Isso é estranho. Porque, se a confiança estiver chegando no domínio a, significa que é o domínio confiável. ie: b confia a.
Tente definir primeiro a parte de saída da confiança.
Seu comando tenta criar a parte de saída (confiante) da confiança somente no domínio b. Eu acho que você precisa definir uma senha de confiança neste caso. Vejo: link
TRUSTING: Specifies to create or remove the trust object on the trusting domain. This value is valid only if you specify the /add or /remove parameter. The /passwordt parameter is required when you use the /add or /remove parameter.
Por que você usa / oneside? Por que não deixar o netdom criar os dois lados da confiança de uma só vez?
E verifique se você não tem DCs com os mesmos nomes nos dois domínios ou se a verificação da confiança falhará.